3. •Derecho de la Seguridad de la Información
• Rama de las ciencias jurídicas que:
• Protege a la información contenida en medios físicos,
electrónicos y sistema informáticos, contra accesos y usos
no autorizados, con la finalidad de conservar su
confidencialidad, integridad y disponibilidad.
• Brinda seguridad y confidencialidad a la información que
sea: sensible, reservada, privada,
secreto industrial, secreto bancario,
secreto profesional, secreto técnico,
secreto comercial, secreto de
fabricación, dato personal,
entre otros.
www.JoelGomez.mx @JoelGomezMX
www.DerechoInformatico.mx @LexInformatica
4. Ley Reglamentaria del Artículo 5 Constitucional,
relativo al Ejercicio de las Profesiones en el D.F.
• ARTICULO 36.- Todo profesionista estará
obligado a guardar estrictamente el secreto de
los asuntos que se le confíen por sus clientes,
salvo los informes que obligatoriamente
establezcan las leyes respectivas.
www.JoelGomez.mx @JoelGomezMX
www.DerechoInformatico.mx @LexInformatica
5. Ley de la Propiedad Industrial
• Artículo 85.- Toda aquella persona que, con motivo de su
trabajo, empleo, cargo, puesto, desempeño de su
profesión o relación de negocios, tenga acceso a un
secreto industrial del cual se le haya prevenido sobre su
confidencialidad, deberá abstenerse de revelarlo sin
causa justificada y sin consentimiento de la persona que
guarde dicho secreto, o de su usuario autorizado.
• Artículo 86.- La persona física o moral que contrate a un
trabajador que esté laborando o haya laborado o a un
profesionista, asesor o consultor que preste o haya
prestado sus servicios para otra persona, con el fin de
obtener secretos industriales de ésta, será responsable
del pago de daños y perjuicios que le ocasione a dicha
persona.
www.JoelGomez.mx @JoelGomezMX
www.DerechoInformatico.mx @LexInformatica
6. Ley Federal de Protección al Consumidor
• Artículo 76 bis.- En la celebración de transacciones
electrónicas se cumplirá con lo siguiente:
• I. El proveedor utilizará la información proporcionada por
el consumidor en forma confidencial, por lo que no podrá
difundirla o transmitirla a otros proveedores ajenos a la
transacción, salvo autorización expresa del propio
consumidor o por requerimiento de autoridad competente;
• II. El proveedor utilizará alguno de los elementos técnicos
disponibles para brindar seguridad y confidencialidad a la
información proporcionada por el consumidor e informará
a éste, previamente a la celebración de la transacción, de
las características generales de dichos elementos;
www.JoelGomez.mx @JoelGomezMX
www.DerechoInformatico.mx @LexInformatica
7. Ley Federal de Protección de Datos
Personales en Posesión de Particulares
• Artículo 19.- Todo responsable que lleve a cabo tratamiento de
datos personales deberá establecer y mantener medidas de
seguridad administrativas, técnicas y físicas que permitan
proteger los datos personales contra daño, pérdida, alteración,
destrucción o el uso, acceso o tratamiento no autorizado.
• Artículo 21.- El responsable o terceros que intervengan en
cualquier fase del tratamiento de datos personales deberán
guardar confidencialidad respecto de éstos, obligación que
subsistirá aun después de finalizar sus relaciones con el titular
o, en su caso, con el responsable.
• Artículos 63 y 64.- La multa por incumplir el deber de
confidencialidad respecto de cualquier fase del tratamiento de
datos personales puede ser de hasta $19,142,400 pesos.
www.JoelGomez.mx @JoelGomezMX
www.DerechoInformatico.mx @LexInformatica
8. Reglamento de la LFPDPPP
• El artículo 2 define los siguientes términos:
• V. Medidas de seguridad administrativas: Conjunto de
acciones y mecanismos para establecer la gestión,
soporte y revisión de la seguridad de la información a
nivel organizacional, la identificación y clasificación de la
información, así como la concienciación, formación y
capacitación del personal, en materia de protección de
datos personales;
www.JoelGomez.mx @JoelGomezMX
www.DerechoInformatico.mx @LexInformatica
9. Reglamento de la LFPDPPP
• VI. Medidas de seguridad físicas: Conjunto de acciones y
mecanismos, ya sea que empleen o no la tecnología,
destinados para:
• a) Prevenir el acceso no autorizado, el daño o
interferencia a las instalaciones físicas, áreas críticas de
la organización, equipo e información;
• b) Proteger los equipos móviles, portátiles o de fácil
remoción, situados dentro o fuera de las instalaciones;
• c) Proveer a los equipos que contienen o almacenan
datos personales de un mantenimiento que asegure su
disponibilidad, funcionalidad e integridad, y
• d) Garantizar la eliminación de datos de forma segura;
www.JoelGomez.mx @JoelGomezMX
www.DerechoInformatico.mx @LexInformatica
10. Reglamento de la LFPDPPP
• VII. Medidas de seguridad técnicas: Conjunto de actividades,
controles o mecanismos con resultado medible, que se valen
de la tecnología para asegurar que:
• a) El acceso a las bases de datos lógicas o a la información en
formato lógico sea por usuarios identificados y autorizados;
• b) El acceso referido en el inciso anterior sea únicamente para
que el usuario lleve a cabo las actividades que requiere con
motivo de sus funciones;
• c) Se incluyan acciones para la adquisición¸ operación,
desarrollo y mantenimiento de sistemas seguros, y
• d) Se lleve a cabo la gestión de comunicaciones y operaciones
de los recursos informáticos que se utilicen en el tratamiento
de datos personales;
www.JoelGomez.mx @JoelGomezMX
www.DerechoInformatico.mx @LexInformatica
11. Reglamento de la LFPDPPP
• Capítulo III.- De las Medidas de Seguridad en el
Tratamiento de Datos Personales:
• Alcance
• Atenuación de sanciones
• Funciones de seguridad
• Factores para determinar las medidas de seguridad
• Acciones para la seguridad de los datos personales
• Actualizaciones de las medidas de seguridad
• Vulneraciones de seguridad
• Notificación de vulneraciones de seguridad
• Información mínima al titular en caso de vulneraciones de
seguridad
• Medidas correctivas en caso de vulneraciones de
seguridad
www.JoelGomez.mx @JoelGomezMX
www.DerechoInformatico.mx @LexInformatica
12. Ley Federal del Trabajo
• Artículo 47.- Son causas de rescisión de la relación de
trabajo, sin responsabilidad para el patrón:
• IX. Revelar el trabajador los secretos de fabricación o dar
a conocer asuntos de carácter reservado, con perjuicio de
la empresa;
• Artículo 134.- Son obligaciones de los trabajadores:
• XIII. Guardar escrupulosamente los secretos técnicos,
comerciales y de fabricación de los productos a cuya
elaboración concurran directa o indirectamente, o de los
cuales tengan conocimiento por razón del trabajo que
desempeñen, así como de los asuntos administrativos
reservados, cuya divulgación pueda causar perjuicios a la
empresa.
www.JoelGomez.mx @JoelGomezMX
www.DerechoInformatico.mx @LexInformatica
13. Ley de Protección y Defensa al
Usuario de Servicios Financieros
• Art. 8.- La Comisión Nacional (CONDUSEF) establecerá y mantendrá
actualizado, un Registro de Usuarios que no deseen que su
información sea utilizada para fines mercadotécnicos o publicitarios.
• Queda prohibido a las Instituciones Financieras utilizar información relativa
a la base de datos de sus clientes con fines mercadotécnicos o publicitarios,
así como enviar publicidad a los clientes que expresamente les hubieren
manifestado su voluntad de no recibirla o que estén inscritos en el registro a
que se refiere el párrafo anterior. Las Instituciones Financieras que sean
objeto de publicidad son corresponsables del manejo de la información de
sus Clientes cuando dicha publicidad la envíen a través de terceros.
• Los usuarios se podrán inscribir gratuitamente en el Registro Público de
Usuarios, a través de los medios que establezca la Comisión Nacional, la
cual será consultada por las Instituciones Financieras.
www.JoelGomez.mx @JoelGomezMX
www.DerechoInformatico.mx @LexInformatica
14. Ley de Instituciones de Crédito
• Artículo 117.- La información y documentación relativa a
las operaciones y servicios a que se refiere el artículo 46
de la presente Ley, tendrá carácter confidencial, por lo
que las instituciones de crédito, en protección del derecho
a la privacidad de sus clientes y usuarios que en este
artículo se establece, en ningún caso podrán dar noticias
o información de los depósitos, operaciones o servicios,
incluyendo los previstos en la fracción XV del citado
artículo 46, sino al depositante, deudor, titular,
beneficiario, fideicomitente, fideicomisario, comitente o
mandante, a sus representantes legales o a quienes
tengan otorgado poder para disponer de la cuenta o para
intervenir en la operación o servicio.
www.JoelGomez.mx @JoelGomezMX
www.DerechoInformatico.mx @LexInformatica
15. Ley de Instituciones de Crédito
• Artículo 46 Bis 1.- Las instituciones de crédito podrán
pactar con terceros, incluyendo a otras instituciones de
crédito o entidades financieras, la prestación de servicios
necesarios para su operación, así como comisiones para
realizar las operaciones previstas en el artículo 46 de esta
Ley, de conformidad con las disposiciones de carácter
general que expida la Comisión Nacional Bancaria y de
Valores, previo acuerdo de su Junta de Gobierno.
• Lo dispuesto en el artículo 117 de esta Ley le será
también aplicable a los terceros a que se refiere el
presente artículo, así como los representantes, directivos
y empleados de dichos terceros, aún cuando dejen de
laborar o prestar sus servicios a tales terceros.
www.JoelGomez.mx @JoelGomezMX
www.DerechoInformatico.mx @LexInformatica
16. Código Penal Federal
• Artículo 210.- Se impondrán de treinta a doscientas
jornadas de trabajo en favor de la comunidad, al que
sin justa causa, con perjuicio de alguien y sin
consentimiento del que pueda resultar perjudicado,
revele algún secreto o comunicación reservada que
conoce o ha recibido con motivo de su empleo, cargo o
puesto.
• Artículo 211.- La sanción será de uno a cinco años,
multa de cincuenta a quinientos pesos y suspensión de
profesión en su caso, de dos meses a un año, cuando
la revelación punible sea hecha por persona que presta
servicios profesionales o técnicos o por funcionario o
empleado público o cuando el secreto revelado o
publicado sea de carácter industrial.
www.JoelGomez.mx @JoelGomezMX
www.DerechoInformatico.mx @LexInformatica
17. Código Penal Federal
• Artículo 211 Bis.- A quien revele, divulgue o utilice
indebidamente o en perjuicio de otro, información o
imágenes obtenidas en una intervención de
comunicación privada, se le aplicarán sanciones de seis
a doce años de prisión y de trescientos a seiscientos
días multa.
www.JoelGomez.mx @JoelGomezMX
www.DerechoInformatico.mx @LexInformatica
18. Otras leyes…
• Ley Federal de Seguridad Privada
• Acuerdo por el que se establece el Esquema de
Interoperabilidad y de Datos Abiertos de la
Administración Pública Federal
• Acuerdo por el que se expide el Manual Administrativo
de Aplicación General en Materia de Tecnologías de la
Información y Comunicaciones
• Ley Federal de Transparencia y Acceso a la Información
Pública Gubernamental.
www.JoelGomez.mx @JoelGomezMX
www.DerechoInformatico.mx @LexInformatica
19. •¿Qué se mueve en Internet?
Dinero
Información
www.JoelGomez.mx @JoelGomezMX
www.DerechoInformatico.mx @LexInformatica
20. •¿Qué es un delito informático?
• Los delitos informáticos (DI) son aquellas
actividades ilícitas que:
• Se cometen mediante el uso
de computadoras, sistemas
informáticos u otros dispositivos
de comunicación (la informática es
el medio o instrumento para realizar un delito); o
• Tienen por objeto causar daños, provocar pérdidas
o impedir el uso de sistemas informáticos (delitos
per se).
www.JoelGomez.mx @JoelGomezMX
www.DerechoInformatico.mx @LexInformatica
21. •Diferencia importante
LEX
• Delito informático es
la conducta típica,
antijurídica, culpable
y punible, en que se
tiene a las • Ataque informático es
computadoras como la conducta indebida
instrumento o fin. que también causa
daños informáticos
pero no esta
contemplada en la
legislación como delito.
www.JoelGomez.mx @JoelGomezMX
www.DerechoInformatico.mx @LexInformatica
22. •Problemática
• Los ataques más significativos son transnacionales por
diseño y con víctimas en todo el mundo.
• Continuamente aparecerán aspectos o conflictos de jurisdicción
en múltiples países.
• Los ciberdelincuentes explotan las debilidades
existentes en las leyes y prácticas de ejecución de los
países, exponiendo a todos los demás países que van
más allá de su capacidad de responder unilateral o
bilateralmente.
• La velocidad y complejidad técnica de las actividades
cibernéticas requiere de procedimientos pre-acordados
entre la comunidad internacional para lograr la
cooperación en investigaciones y para responder a
ataques y amenazas.
www.JoelGomez.mx @JoelGomezMX
www.DerechoInformatico.mx @LexInformatica
23. •Pirámide del Delincuente Informático
+ i
Terroristas,
Peligrosidad y Daños
Extremistas
Phising
Mercenarios
y Traficantes ID Theft
de Información RAT‟s
Hackers,
- Crackers y Phreaks
www.JoelGomez.mx @JoelGomezMX
www.DerechoInformatico.mx @LexInformatica
24. Los Delincuentes Las Víctimas
• Hackers y • Personas físicas al azar y
Crackers eventualmente empresas
• Mercenarios y • Empresas, grandes
traficantes de corporativos y personas
información físicas a nivel masivo
• Terroristas y • Gobierno y
Grupos eventualmente
Extremistas grandes empresas
www.JoelGomez.mx @JoelGomezMX
www.DerechoInformatico.mx @LexInformatica
25. •Tipos de CiberDelincuentes
• Hacking / Hacker
• Individuo que penetra un sistema informático sólo
por gusto o para probar sus habilidades. Usualmente
no tiene fines delictivos graves este tipo de intrusión.
• Cracking / Cracker
• Persona que penetra un sistema informático con el
fin de robar o destruir información valiosa, realizar
transacciones ilícitas, o impedir el buen
funcionamiento de redes informáticas o
computadoras.
www.JoelGomez.mx @JoelGomezMX
www.DerechoInformatico.mx @LexInformatica
26. •Tipos de Ciberdelincuentes
• CiberGrafitti / Defacements
• Penetrar sitios web para modificar su contenido,
desplegando imágenes obscenas, amenazas,
mensajes ridiculizantes, burlas, etc.
• Phreaking / Phreaks
• Penetrar ilícitamente sistemas
telefónicos o de telecomunicaciones
con el fin de obtener beneficios o
causar perjuicios a terceros.
www.JoelGomez.mx @JoelGomezMX
www.DerechoInformatico.mx @LexInformatica
27. •Tipos de CiberDelincuentes
• Warez
• Grupo de personas amantes de la piratería de
software. Su meta es violar códigos de seguridad
(cracking) o generar, obtener o compartir números
de registro (regging) de programas de computo, para
luego subirlos a Internet y compartirlos con el
mundo.
• Usualmente son delitos o ilícitos contra la Propiedad
Intelectual o Derechos de Autor.
www.JoelGomez.mx @JoelGomezMX
www.DerechoInformatico.mx @LexInformatica
28. •Tipos de Delitos y Ataques
• CiberPandillerismo
• Grupos de hackers o extremistas se reúnen para
cometer o planear delitos, o para expresar ideas
racistas, discriminatorias o xenofóbicas.
• Hacking for Girlies
• Legion of the Underground (LoU)
• Masters of Destruction/Deception (MoD)
• Cult of the Dead Cows
Algunos de estos grupos eventualmente “se convierten” en “consultores de seguridad informática”.
www.JoelGomez.mx @JoelGomezMX
www.DerechoInformatico.mx @LexInformatica
29. •Tipos de Delitos y Ataques
• Robo de identidad
• Aprovechamiento de datos personales para hacerse
pasar por otra persona, con el objeto de obtener
beneficios económicos o cometer delitos.
• CiberAcoso
• Acosar, hostigar, molestar, intimidar o amenazar
personas o entidades usando medios informáticos.
• Falsificaciones y fraudes electrónicos
• Virus, gusanos y códigos malignos
www.JoelGomez.mx @JoelGomezMX
www.DerechoInformatico.mx @LexInformatica
30. •Clasificación de los D.I. por motivación
• D.I. de entretenimiento, • D.I. motivados por lucro:
orgullo y exploración: • Cracking
• Phreaking • Fraude electrónico
• Web defacement • Robo informático
• Hacking • Robo de Identidad
• Warez • Ingeniería Social
• Virus • Phishing
• D.I. con causa: • Cartas Nigerianas
• Hacktivismo • Wi-Fi hacking
• CiberTerrorismo • WarDriving
• CiberAcoso • Clonación de tarjetas
• DDoS • DDoS, Virus, etc.
www.JoelGomez.mx @JoelGomezMX
www.DerechoInformatico.mx @LexInformatica
31. •D.I. e Ilícitos vs. la Propiedad Intelectual
• Delitos Informáticos vs. • Ilícitos o infracciones vs.
Derechos de Autor Marcas Registradas
• Warez (Piratería) • Disputas sobre nombres
• Publicación de Serial de dominio (UDRP/LDRP)
Numbers • Venta de palabras clave
• Vulneración de (google)
sistemas de seguridad • Framing
de software • Meta-tagging
• File sharing – P2P (litigio • Web defacement
por redes peer to peer) • Phishing, clonación de
sitios web
www.JoelGomez.mx @JoelGomezMX
www.DerechoInformatico.mx @LexInformatica
32. •D.I. e Ilícitos vs. la Privacidad, Intimidad
y Confidencialidad Industrial
• Contra las empresas, • Contra las personas
instituciones y gobierno • Robo de identidad
• Virus • Phishing
• Spyware / Malware • Carding y clonación
• Sniffing / packet sniffers • CiberAcoso
• Keyloggers • “Spamming”
• Hacking / Cracking • Difamación y calumnia en
• Ingeniería Social redes sociales y cadenas
• Robo informático de de correos electrónicos
información confidencial o • Pornografía infantil
secretos industriales • Corrupción de menores
www.JoelGomez.mx @JoelGomezMX
www.DerechoInformatico.mx @LexInformatica
33.
34. •¿Qué es Hacktivismo?
• Hacktivismo (un acrónimo de hacker y activismo) se
entiende normalmente la utilización ¿“no-violenta”? de
herramientas digitales ilegales o legalmente ambiguas
persiguiendo fines políticos.
• Estas herramientas incluyen desfiguraciones
de webs, redirecciones, ataques de denegación
de servicio, robo de información, parodias,
sustituciones virtuales, sabotajes virtuales
y desarrollo de software.
www.JoelGomez.mx @JoelGomezMX
www.DerechoInformatico.mx @LexInformatica
35. •¿Qué es (H)ac(k)tivismo?
• Hacktivismo es el matrimonio entre el hackeo y
el activismo; incluye procedimientos que usan
técnicas de hackeo contra un sitio web con la
intención de interrumpir las operaciones
normales sin causar daños serios. Ejemplos
son: protestas web y bloqueos virtuales,
bombas automatizadas de correo electrónico,
intrusiones a computadoras, y virus/gusanos
informáticos.
Dra. Dorothy Denning
Profesora de la Universidad de Georgetown
www.JoelGomez.mx @JoelGomezMX
www.DerechoInformatico.mx @LexInformatica
36. •¿Qué es el (Ciber) Activismo?
• (Ciber) Activismo es el uso normal
no disruptivo de Internet para
apoyar una causa a agenda.
Operaciones en esta área incluyen
navegación en la web, construcción de sitios
web y publicación de materiales en ellos,
difundir publicaciones electrónicas y cartas por
correo electrónico, y uso del internet para
discutir asuntos, formar coaliciones y planear o
coordinar actividades.
Dra. Dorothy Denning
Profesora de la Universidad de Georgetown
www.JoelGomez.mx @JoelGomezMX
www.DerechoInformatico.mx @LexInformatica
37. •Historia y orígenes del (H)ac(k)tivismo
• (H)ac(k)tivismo
• Grupos ambientalistas, anti-nucleares, anti-guerras,
pro-derechos humanos, etc. pueden usar la red para
promover ciber-desobediencia civil.
• Ciber-guerra civil
• 1995: Ciudadanos franceses e italianos protestaron contra
las acciones y políticas de su gobierno sitiando la presencia
de dichos gobiernos en internet.
• 1996: La Casa Blanca fue el blanco de una imensa
tormenta de transmisión de correos electrónicos, cada uno
conteniendo una copia del Bill of Rights. El objetivo era
inhibir el sitio web de la presidencia.
www.JoelGomez.mx @JoelGomezMX
www.DerechoInformatico.mx @LexInformatica
38. •Historia y orígenes del (H)ac(k)tivismo
• (H)ac(k)tivismo…
• Ciber-guerra civil (1998)...
• Una instalación nuclear de la India fue hackeada después de
pruebas de armamento y bombas atómicas.
• Un grupo llamado “The Hong Kong Blondes” hackeo la red
informática de la Policía China, como forma de protesta en
contra de los arrestos políticos.
www.JoelGomez.mx @JoelGomezMX
www.DerechoInformatico.mx @LexInformatica
39. •(H)ac(k)tivismo en México
• En marzo de 1996, mexicanos promovieron
“huelgas por internet” similares a las que habían
ocurrido en Europa en 1995 y 1996 (ataques
cibernéticos a sitios web franceses, italianos y de
EUA, como protesta por
sus políticas públicas).
• En mayo de 1996,
hacktivistas lanzaron
ataques de denegación de servicio al grupo de
noticias de usernet llamado “alt.religion.scientology”
en un intento aparente de sofocar la crítica e
intolerancia de la Iglesia hacia sus detractores.
www.JoelGomez.mx @JoelGomezMX
www.DerechoInformatico.mx @LexInformatica
41. •(H)ac(k)tivismo en México
• En septiembre de 1998, el grupo de hackers-
hacktivistas llamado “Electronic Disturbance
Teather - EDT”, como muestra de apoyo y
solidaridad a los Zapatistas Mexicanos, lanzó
un ataque masivo de denegación de servicios
en contra de sitios web del Pentágono, la Casa
Blanca y del gobierno
mexicano presidido en
aquel entonces por
Ernesto Zedillo.
www.JoelGomez.mx @JoelGomezMX
www.DerechoInformatico.mx @LexInformatica
42. •(H)ac(k)tivismo en México
• Brett Stalbaum, uno de los líderes de EDT, creó
un programa de software llamado “The
Zapatista FloodNet” para facilitar los ataques.
• 18,615 personas en 46 distintos países,
apoyaron desde sus computadoras el ataque
masivo contra estos sitios de gobierno de
México y Estados Unidos. Ricardo Domínguez,
neoyorquino de padres mexicano, fue uno de
los principales protagonistas del EDT y de este
ataque DDoS.
www.JoelGomez.mx @JoelGomezMX
www.DerechoInformatico.mx @LexInformatica
49. •¿Qué es un DoS / DDoS?
• DoS es la abreviatura en inglés de Ataque de
Denegación de Servicios y DDoS corresponde a Ataque
Distribuido de Denegación de Servicios.
• El objetivo de un ataque de denegación de servicio
(DoS) es hacer inoperable a un sistema (computadora).
Algunos ataques de denegación de servicio están
diseñados para bloquear el sistema de destino, mientras
que otros sólo tienen por objeto provocar que el sistema
de destino tan ocupado que no pueda manejar su carga
normal de trabajo.
www.JoelGomez.mx @JoelGomezMX
www.DerechoInformatico.mx @LexInformatica
50. •¿Qué es un DoS / DDoS?
• ¿Es un solo tipo de ataque? No, en realidad un ataque de
denegación de servicios (distribuido o no) puede llevarse
a cabo de muy diversas maneras.
• ¿Qué NO es un DoS / DDoS? Este tipo de ataques no
representan un hackeo tradicional, es decir, no hay
intrusión o vulneración de una computadora por acceso
no autorizado. El agresor no tiene acceso a los archivos o
información personal contenida en el servidor o
computadora objetivo del ataque.
www.JoelGomez.mx @JoelGomezMX
www.DerechoInformatico.mx @LexInformatica
51. •¿Qué tan sencillo es realizar un DoS?
• Lamentablemente resulta ser extremadamente sencillo, dado que
estos ataques se sustentan en ingeniería social.
• Jorge Arciga, CIO de la Presidencia
• Un ataque de negación de servicio puede ser tan simple o complejo
como el atacante quiera. Puede requerir la participación de
personas o ser completamente automatizado.
• Adolfo Grego, especialista en seguridad informática
• En realidad no considero que se requiera un grado avanzado de
habilidades, sino sólo un poco de curiosidad y tal vez, la „voluntad‟
de querer ser parte de un movimiento (anti)social.
• Alberto Ramírez, Gerente de Riesgo Tecnológico de una institución financiera
www.JoelGomez.mx @JoelGomezMX
www.DerechoInformatico.mx @LexInformatica
52. •¿Qué es un DoS / DDoS?
• En un ataque distribuido de denegación de servicio
(DDoS), un atacante puede controlar decenas o
incluso cientos de servidores y apuntar toda esa potencia
de ataque acumulada de todos estos sistemas a un único
objetivo (servidor o computadora). En lugar de lanzar un
ataque desde un único sistema (como sucede con el
DoS), el atacante irrumpe en numerosos sitios, instala
el script del ataque de denegación de servicio a cada
uno, y luego organiza un ataque coordinado para ampliar
la intensidad de estas agresiones cibernéticas. A este
método suele conocérsele como “El Ataque de los
Zombis”, el cual dificulta a los investigadores forenses el
rastreo de la fuente real del ataque.
www.JoelGomez.mx @JoelGomezMX
www.DerechoInformatico.mx @LexInformatica
53. •¿Es ilegal realizar un DoS / DDoS?
• Convenio de la Ciberdelincuencia (Convenio
de Budapest, vigente en 32 países)
• Artículo 5 (1) – Ataques a la integridad del sistema.
Cada Parte adoptará las medidas legislativas y de
otro tipo que resulten necesarias para tipificar como
delito en su derecho interno la obstaculización
grave, deliberada e ilegítima del funcionamiento de
un sistema informático mediante la introducción,
transmisión, daño, borrado, deterioro, alteración o
supresión de datos informáticos.
www.JoelGomez.mx @JoelGomezMX
www.DerechoInformatico.mx @LexInformatica
54. •¿Es ilegal realizar un DoS / DDoS?
• España
• El que por cualquier medio, sin autorización y de manera
grave borrase, dañase, deteriorase, alterase, suprimiese,
o hiciese inaccesibles datos, programas informáticos o
documentos electrónicos ajenos, cuando el resultado
producido fuera grave, será castigado con la pena de
prisión de seis meses a dos años.
• El que por cualquier medio, sin estar autorizado y de
manera grave obstaculizara o interrumpiera el
funcionamiento de un sistema informático ajeno,
introduciendo, transmitiendo, dañando, borrando,
deteriorando, alterando, suprimiendo o haciendo
inaccesibles datos informáticos, cuando el resultado
producido fuera grave, será castigado, con la pena de
prisión de seis meses a tres años.
www.JoelGomez.mx @JoelGomezMX
www.DerechoInformatico.mx @LexInformatica
55. •¿Es ilegal realizar un DoS / DDoS?
• Estados Unidos
• 18 U.S.C. 1030 (a) (5) (A) (i). A quien conscientemente
provoque la transmisión de un programa, información,
código o comandos, y como resultado de dicha conducta,
intencionalmente cause daño sin autorización, a una
computadora protegida, será sancionado con:
• Multa y/o prisión por no más de 10 años, 20 años en
caso de reincidencia.
• Multa y/o prisión hasta por cadena perpetua si el
delincuente conscientemente o negligentemente
cause o intente causar la muerte.
• “Daño” es definido por el artículo 18 U.S.C. 1030 (e) (8)
como “cualquier deterioro, insuficiencia o menoscabo a la
integridad o disponibilidad de datos, programas, sistemas
o información”.
www.JoelGomez.mx @JoelGomezMX
www.DerechoInformatico.mx @LexInformatica
56. •¿Es ilegal realizar un DoS / DDoS?
• Colombia
• Artículo 269 B: Obstaculización ilegítima de sistema
informático o red de telecomunicación. El que, sin estar
facultado para ello, impida u obstaculice el
funcionamiento o el acceso normal a un sistema
informático, a los datos informáticos allí contenidos, o a
una red de telecomunicaciones, incurrirá en pena de
prisión de cuarenta y ocho (48) a noventa y seis (96)
meses y en multa de 100 a 1000 salarios mínimos
legales mensuales vigentes, siempre que la conducta no
constituya delito sancionado con una pena mayor.
www.JoelGomez.mx @JoelGomezMX
www.DerechoInformatico.mx @LexInformatica
57.
58. •Delitos Informáticos en México
• El Código Penal Federal se reforma el 17 de
Mayo de 1999 para incluir tres nuevas
categorías bajo el nuevo capítulo “Acceso Ilícito
a Sistemas y Equipos de Informática”:
• Accesos ilícitos a sistemas de particulares
• Accesos ilícitos a sistemas de gobierno
• Accesos ilícitos a sistemas del sector financiero
www.JoelGomez.mx @JoelGomezMX
www.DerechoInformatico.mx @LexInformatica
59. •Código Penal Federal
• Articulo 211 bis 1 al 7.- Castiga…
• Al que sin autorización (o estando autorizado)
modifique, destruya o provoque perdida de
información contenida en sistemas o equipos de
informática {particulares, estatales o financieros}
protegidos por algún mecanismo de seguridad.
• Al que sin autorización (o estando autorizado)
conozca o copie información contenida en sistemas
o equipos de informática {particulares, estatales o
financieros} protegidos por algún mecanismo de
seguridad.
www.JoelGomez.mx @JoelGomezMX
www.DerechoInformatico.mx @LexInformatica
60. •Código Penal Federal
• Sin autorización, modifique, destruya o provoque pérdida
de información [equipos privados]: 6 meses a 2 años de
prisión.
• Sin autorización conozca o copie información contenida en
[equipos privados]: 3 meses a 1 año de prisión.
• Sin autorización, modifique, destruya o provoque pérdida
de información [equipos del Estado]: 1 a 4 años de prisión.
• Sin autorización conozca o copie información contenida en
[equipos del Estado]: 6 meses a 2 años de prisión.
• Sin autorización conozca, obtenga, copie o utilice
información contenida en [equipos de Seguridad Pública]:
4 a 10 años de prisión.
www.JoelGomez.mx @JoelGomezMX
www.DerechoInformatico.mx @LexInformatica
61. •Código Penal Federal
• Con autorización, modifique, destruya o provoque pérdida de
información [equipos del Estado]: 2 a 8 años de prisión.
• Con autorización, copie información [equipos del Estado]: 1 a 4
años de prisión.
• Con autorización, obtenga, copie o utilice información [equipos de
Seguridad Pública]: 4 a 10 años de prisión.
• Si es servidor público en institución de SP, se incrementará la pena hasta en
una mitad, se destituirá e inhabilitará por un plazo igual al de la pena para
desempeñarse en otro empleo o cargo público.
• Sin autorización, modifique, destruya o provoque pérdida de
información [equipos del Sistema Financiero]: 6 meses a 4 años de
prisión.
• Sin autorización conozca o copie información contenida en
[equipos del S.F.]: 3 meses a 2 años de prisión.
www.JoelGomez.mx @JoelGomezMX
www.DerechoInformatico.mx @LexInformatica
62. •Código Penal Federal
• Con autorización, modifique, destruya o provoque pérdida de
información [equipos del S.F.]: 6 meses a 4 años de prisión.
• Con autorización, copie información [equipos del S.F.]: 3 meses a 2
años de prisión.
• Las penas previstas para delitos cometidos contra equipos del
Sistema Financiero se incrementarán en una mitad cuando las
conductas sean cometidas por funcionarios o empleados de dichas
instituciones.
• Todas las penas anteriores se incrementarán en una mitad cuando
la información obtenida se utilice en provecho propio o ajeno.
www.JoelGomez.mx @JoelGomezMX
www.DerechoInformatico.mx @LexInformatica
63. •¿Qué falta regular?
• Virus,gusanos, • Secuestro de
troyanos (código Datos Informáticos
malicioso) • Fraude Electrónico
• CiberAcoso o • Phishing / ID Theft
CyberBullying • Ataques DoS /
• HappySlapping
DDoS
• Hacktivismo
• CiberVandalismo
• Ciberterrorismo
www.JoelGomez.mx @JoelGomezMX
www.DerechoInformatico.mx @LexInformatica
64. • Joel A. Gómez Treviño
• abogado@joelgomez.mx
• Twitter.com/JoelGomezMX
• Twitter.com/LexInformatica
• www.derechoinformatico.mx